最低レベルの権限に基づく

最低レベルの権限に基づく

私のユーザーアカウントはsamjaquesグループに属していますsams。両方のフォルダがsamsグループで構成されています。フォルダ1はルートとフォルダ2の所有です。samjaques両方の権限はに設定されています---rwx---。端末で(samjaquesおよびとして実行sams)フォルダ1のみを開くことができ、フォルダ2を開くことはできません(フォルダ2から提供されていますPermission denied)。

私の考えでは、システムがユーザーの権限、グループ、その他の権限を順番に確認し、グループを確認せずにユーザーを拒否すると、権限を拒否するようです。これが予想される動作ですか?理由がありますか?

一般的に、ユーザー権限よりもグループ権限を持っているのが合理的または悪い習慣ではありませんか?

答え1

はい、アクセスプロセスのEUIDが所有ユーザーと一致する場合にのみ、ユーザー権限が確認されます。そうではありませんが、プロセスのGIDがそのプロセスが属するグループと一致する場合は、グループ権限を確認してください。それ以外の場合は、「その他」権限を使用してください。ボールは最初に一致するIDで停止します。

一般に、所有ユーザーは権限を変更し、自分に必要なアクセス権を付与できるため、ユーザーがグループよりもアクセス権が少ないことはあまり意味がありません。 (SELinuxなどは除く)

ただし、グループとは異なるグループの場合は、ある程度意味があります。つまり、特定のグループへのアクセスを拒否し、他のグループへのアクセスを許可できます。たとえば、所有されているファイルの場合、グループメンバーはsomeuser:somegroup権限があればそのファイルにアクセスできませんが、グループメンバーでない人は誰でもファイルを読み取ることができます。rw----r--somegroupsomegroup

関連情報